盘点：网络安全意识主要评价方法比较.docxVIP

盘点：网络安全意识主要评价方法比较 国内外网络安全意识主要评价方法有以下几种：问卷调查、在线测试以及试卷考试、基于游戏模式进行测试、基于攻击情景模拟的测试方法。 一、需要建立网络安全意识评价标准和体系 网络安全意识，即网络空间的安全意识。全民网络安全意识的提升事关国家网络空间安全和人民切身利益。在国家基础设施保护、加强网络文化建设、打击预防网络恐怖和网络犯罪、完善网络治理、提高网络防御能力、加强网络安全人才建设、提高全民网络安全意识等战略任务中，人的网络安全意识是极其重要的因素，也是明确的战略任务。 我国虽然已经意识到网络安全意识的重要性，但因起步较晚，相关技术标准仍然处于空白。《网络安全法》第六条明确指出“采取措施提高全社会的网络安全意识和水平，形成全社会共同参与促进网络安全的良好环境”，但在人员及组织等群体性的网络安全意识的评价指标和方法上，还没有具体细则，亟需重点研究。 建立一个能够评测内部人员网络安全意识的标准和指标体系，会有效促进内部网络安全意识提升，从而为我国社会各个业务领域的网络安全意识测评、教育提供指导和参考，以便从人员网络安全意识管控角度降低信息安全保障体系的网络安全风险，减少网络资产损失，构筑全民网络安全防线。 二、网络安全意识评价方法概述 国内外现有网络安全意识测评多是以达到网络安全意识普及和教育为目的来进行，主要方法有以下几种：问卷调查、在线测试以及试卷考试、基于游戏模式进行测试、基于攻击情景模拟的测试方法。下文将对这几种测评方法进行详细的论述。 (一)问卷调查方法 2006年，安格鲁阿山帝黄金矿业公司为了测量员工信息安全意识水平，用AHP法构建了信息安全意识评价指标体系，将信息安全意识分为知识、态度和行为三个维度，并根据该指标体系编制了一组包含有35个题项的测试量表，对员工的信息安全保密意识水平进行了调查分析。通过对测量结果进行统计分析，并以二维图的形式，展示被测者信息安全保密意识及其各二级指标特质水平。 国内用问卷调查方法进行网络安全意识测评研究，比较具有代表性的是360公司在2017年10月份发布的《中国网民网络安全意识调研报告》，针对网民的上网安全感、安全知识的关注与学习、上网安全意识与习惯、网络诈骗防范意识、网络诈骗心理影响、网络诈骗受害者的个体因素等方面，通过问卷调查的方法，以网民自我评价为主要手段，对中国网民的网络安全意识进行调研，通过问卷调查所得数据进行结果分析。 李克斯特五点量表测量法在问卷调查中的运用也很有代表性。如第四军医大学网络中心的网络安全素养测评研究团队的研究中，以信息安全保密素养评价指标体系为准则，从指标体系的四个维度出发，按照内部一致性较佳的李克斯特五点法编写了测量表，共包含28个题项，均已通过多次实验，完成了因素分析和信度分析。可说明被测者对其信息安全保密素养高低水平的自我感知情况，可以反映被测者信息安全保密素养的整体水平。 (二)在线测试及考试方法 由于实行方法简单，易定量测评，可操作性强等优点，在线测试和组卷考试是现有的网络安全意识测评中运用最普遍的一种方法。 欧美的许多大学如亚利桑那大学、加州理工大学、加利福尼亚大学、休斯顿大学等每年会对师生进行信息安全意识在线培训，学生需在特定的时间内完成在线测验。未能按时完成的学生将不能访问特定的在线资源，顺利完成且表现突出者，即可参与月度的安全意识竞赛及国家的网络安全意识竞赛，优胜者可获得相关证书及有趣的礼物等。 英国的劳埃德TSB银行在其官网上设有安全栏目，栏目下设11个主题，其目的是让银行用户关注日常所遇到的信息安全问题以及遇到此类问题该如何保护自己：如网络钓鱼、身份盗窃、社交网络等，使用户在使用银行业务中体验尽可能的安全。其中有一个在线的信息安全意识小测验，用户可进行在线测试，若某一道题回答错误，则会提醒用户错误之处及正确的做法。 马来西亚理工大学在2009年对中学教师和学生的信息安全意识水平展开了研究，基于ABC模型构建了一套信息安全意识水平评估模型，将信息安全保密意识分为知识、行为和态度三个维度。同时开发了一套信息安全意识水平的测量工具ISATS（Information Security Awareness For Teacher And Student Tool），该测评工具由教师测验模块、学生测验模块、测试结果展示模块和测试水平分析模块四大功能模块组成。马来西亚理工大学于2012年又进行了一项研究，测量银行职员信息安全意识水平。此项研究同样利用ABC模型作为理论基础，将银行职员分为三类，高级管理人员、行政人员、最终用户。每个职员的信息安全意识分为三个维度，知识、态度和行为，每个维度下分有七个层面，分别为使用互联网、电子邮件、密码、保护敏感数据、遵守银行规章、报告安全隐患、物理安全。 (三)基于游戏模式的测试方法